зачем тебе давать 30 сек передержки? просто отправляй письмо восстановления на почту и все, с предупреждением тип, если это были не вы поменяйте пароль на более сложный. Или просто создай статистику сессий на сайте для юзеров. и выдавай токен при каждой авторизации.
